Konfiguracja połączenia VPN między dwoma ruterami Cisco c7200

Konfiguracja połączenia VPN między dwoma ruterami Cisco c7200

Konfiguracja połączenia VPN między dwoma
ruterami Cisco c7200 algorytmem PSK
wirtualnej sieci prywatnej opartej na
protokole IPsec.
Niniejszy artykuł poświęcony zostanie tematyce związanej z bezpiecznym przesyłaniem danych wewnątrz
firmy oraz z innych lokalizacji. Mobilność współcześnie jest ważnym czynnikiem warunkującym rozwój
firm. Opisane rozwiązanie znacznie wpływa na możliwości komunikacji oraz jej jakość i bezpieczeństwo.
W celu tworzenia szyfrowanej wirtualnej sieci prywatnej należy wykonać następujące kroki:
•
Uwierzytelnienie obu stron komunikacji wobec siebie za pomocą jednej z poniższych metod:
 Hasło znane obu stronom (shared secret) – użyte w konfiguracji,
 Podpisy RSA (ręcznie wymieniamy klucze publiczne),
 Certyfikaty X.509 (najbardziej uniwersalna),
•
Nawiązanie bezpiecznego kanału dla potrzeb IKE nazywanego ISAKMP SA (Security
Associacion),
•
Bezpieczne uzgodnienie kluczy kryptograficznych oraz parametrów tuneli IPsec,
•
Ewentualna ich renegocjacja co określony czas.
Rysunek 1 C1-komputer, C2- komputer.
Konfiguracja Ruterów R1 i R2 na rysunku nr 1 wygląda następująco:

W ruterze R1:
R1>enable
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
R1(config)#crypto isakmp key zaq12wsx address 192.168.1.20
R1(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto map mapa 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set peer 192.168.1.20
R1(config-crypto-map)#set transform-set transform
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#exit
R1(config)#access-list 100 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
R1(config)#interface f2/0
R1(config-if)#crypto map mapa
R1(config-if)#
*Jun 12 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R1(config-if)#exit

W ruterze R2:
R2>enable
R2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#exit
R2(config)#crypto isakmp key zaq12wsx address 192.168.1.10
R2(config)#crypto ipsec transform-set transform esp-des esp-md5-hmac
R2(cfg-crypto-trans)#exit
R2(config)#crypto map mapa 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R2(config-crypto-map)#set peer 192.168.1.10
R2(config-crypto-map)#set transform-set transform
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#exit
R2(config)#access-list 100 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
R2(config)#interface f2/0
R2(config-if)#crypto map mapa
R2(config-if)#
*Jun 12 16:47:33.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
R2(config-if)#exit
W konfiguracji acces-list 100 były podawane adresy IP sieci, które będą się łączyć przez tunel
stworzony za pomocą R1 i R2. Dla hostów ustawiono więc odpowiednio adresy:
 C1: 10.1.0.11 z maską 255.255.0.0 i bramą 10.1.0.10, adresu interfejsu FastEthernet R1 do
którego był podłączony C1.
 C2: 10.2.0.21 z maską 255.255.0.0 i bramą 10.2.0.20, adresu interfejsu FastEthernet R2 do
którego był podłączony C2.
Tak skonfigurowane urządzenia i komputery nawiązują łączność tworząc wirtualną sieć prywatną:
R1#show crypto isakmp sa
dst
src
state
conn-id slot
192.168.1.20 192.168.1.10 QM_IDLE
1 0
Zestawiona powyżej sieć może być odpowiednio filtrowana, można nadawać priorytety za pomocą
access list. Stosując np. polecenie na obu ruterach:
access-list 100 deny tcp any any eq ftp
access-list 100 deny tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53
Dzięki takiemu ustaleniu priorytetu przesyłanie danych protokołu UDP ma w sieci najwyższy
priorytet i dane są przesyłane w pierwszej kolejności. Przekłada się to na wydajność sieci. Przesyłane dane,
które nie zawierają się w liście priorytetu są kolejkowane dopóki najwyższy priorytet przesyła dane co może
być również szkodliwe dla sieci. Pakiety, które mają niższy priorytet są kolejkowane i dopóki przesyłane są
dane o najwyższym priorytecie pozostałe czekają.
Sposobów priorytetyzowania jest wiele m.in. CQ, czyli Custom Queueing i CBWFQ, czyli
Class-Based WFQ (najbardziej wydajny, jednak potrzebuje znacznie większej mocy obliczeniowej).
Artykuł opracował Paweł Jaroszewicz,
Support Online Sp. z o.o.
Firma Support Online wykorzystuje rozwiązania związane z wirtualnymi
sieciami. Jeśli jesteś zainteresowany zastosowaniem łączeniem
routerów przez IPsec w Twojej firmie lub innymi rozwiązaniami
informatycznymi - skontaktuj się z nami:
Support Online Sp. z o.o.
tel. + 22 335 28 00
e-mail: [email protected]
www.support-online.pl